forum.opennet.ru - "L2TP на циске и нат " (13)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"L2TP на циске и нат "

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"L2TP на циске и нат "	+/–
Сообщение от evgenpch (ok) on 13-Дек-12, 16:06
Доброго времени суток, не подскажите что сделал не так, есть л2тп сервер нациске 1841 подключаюсь клиентом получаю адрес и получаю пару проблем. 1. мне нужно, чтобы л2тп клиенты во внутреннюю сеть натились во внутренний интерфейс циски (она не является дефолтным гейтом в сети а маршруты прописывать не хочется) вот конфиг: Fa0/0 -соответственно внутренний интерфейс. в нат просто не попадают и не могу понять почему... ip dhcp pool VPDNDP network 10.11.11.0 255.255.255.0 default-router 10.11.11.1 dns-server 192.168.0.10 192.168.2.70 option 121 hex 080a.0a0b.0b01.18c0.a800.0a0b.0b01 option 249 hex 080a.0a0b.0b01.18c0.a800.0a0b.0b01 vpdn-group VPDN-L2TP ! Default L2TP VPDN group accept-dialin protocol l2tp virtual-template 2 lcp renegotiation on-mismatch l2tp security crypto-profile L2TP no l2tp tunnel authentication l2tp tunnel timeout no-session 15 ip pmtu ip mtu adjust crypto ipsec transform-set L2TP esp-aes esp-sha-hmac crypto ipsec profile L2TP set transform-set L2TP crypto map ххх 1 ipsec-isakmp profile L2TP set transform-set L2TP interface Loopback101 ip address 10.11.11.1 255.255.255.255 interface Virtual-Template2 ip unnumbered Loopback101 ip nat inside ip virtual-reassembly autodetect encapsulation ppp peer default ip address dhcp-pool VPDNDP ppp authentication ms-chap-v2 ip nat inside source route-map L2TP interface FastEthernet0/0 overload access-list 111 permit ip 10.11.11.0 0.0.0.255 192.168.0.0 0.0.3.255 route-map L2TP permit 10 match ip address 111 2. стандартная проблема выдачи маршрутов л2тп-клиентам. Подскажите пожалуйста в чем не так?
Ответить \| Правка \| Cообщить модератору

Оглавление

L2TP на циске и нат , Merridius, 18:03 , 13-Дек-12, (1)

L2TP на циске и нат , spiegel, 20:11 , 13-Дек-12, (2)
L2TP на циске и нат , evgenpch, 00:01 , 14-Дек-12, (3)

L2TP на циске и нат , spiegel, 00:42 , 14-Дек-12, (4)

L2TP на циске и нат , evgenpc, 02:12 , 14-Дек-12, (5)

L2TP на циске и нат , evgenpc, 02:15 , 14-Дек-12, (6)

L2TP на циске и нат , evgenpch, 02:44 , 14-Дек-12, (7)

L2TP на циске и нат , spiegel, 19:52 , 14-Дек-12, (8)

L2TP на циске и нат , evg, 01:22 , 25-Дек-12, (9)

L2TP на циске и нат , evg, 16:32 , 28-Дек-12, (10)

L2TP на циске и нат , asx, 17:04 , 28-Дек-12, (11)

L2TP на циске и нат , evg, 10:57 , 29-Дек-12, (12)

L2TP на циске и нат , vigogne, 11:21 , 29-Дек-12, (13)

Сообщения по теме [Сортировка по времени | RSS]

1. "L2TP на циске и нат " +/–

Сообщение от Merridius (ok) on 13-Дек-12, 18:03

>[оверквотинг удален]
>  ip virtual-reassembly
>  autodetect encapsulation ppp
>  peer default ip address dhcp-pool VPDNDP
>  ppp authentication ms-chap-v2
> ip nat inside source route-map L2TP interface FastEthernet0/0 overload
> access-list 111 permit ip 10.11.11.0 0.0.0.255 192.168.0.0 0.0.3.255
> route-map L2TP permit 10
>  match ip address 111
> 2. стандартная проблема выдачи маршрутов л2тп-клиентам.
> Подскажите пожалуйста в чем не так?
Мало что понял, кто куда и зачем натится, но могу сказать следующее: чтобы трафик натился куда-то, он(трафик) должен сначала быть направлен туда. Соответственно сначала разбираемся с маршрутизацией, потом накладываем поверх нее сервис трансляции.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "L2TP на циске и нат " +/–

Сообщение от spiegel (ok) on 13-Дек-12, 20:11

>[оверквотинг удален]
>>  ppp authentication ms-chap-v2
>> ip nat inside source route-map L2TP interface FastEthernet0/0 overload
>> access-list 111 permit ip 10.11.11.0 0.0.0.255 192.168.0.0 0.0.3.255
>> route-map L2TP permit 10
>>  match ip address 111
>> 2. стандартная проблема выдачи маршрутов л2тп-клиентам.
>> Подскажите пожалуйста в чем не так?
> Мало что понял, кто куда и зачем натится, но могу сказать следующее:
> чтобы трафик натился куда-то, он(трафик) должен сначала быть направлен туда. Соответственно
> сначала разбираемся с маршрутизацией, потом накладываем поверх нее сервис трансляции.
на  f0/0 не забыли ip nat outside? Что показывает sh ip nat stat и sh ip nat trans?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "L2TP на циске и нат " +/–

Сообщение от evgenpch (ok) on 14-Дек-12, 00:01

с маршрутизацией все ок, прописываю маршрут на внутреннем сервере 10.11.11.0 на внутренний интерфейсе и все пингуется. не на внутреннем fa0/0 я не могу ip nat outside прописать - он для исходящих соединений еще некоторых работает.
вот остатки - интерфейсы и нат (исходящих соединений)
interface FastEthernet0/0
ip address 192.168.11.1 255.255.255.0 secondary
ip address 192.168.2.247 255.255.252.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache policy
ip tcp adjust-mss 1420
ip ospf priority 20
duplex auto
speed auto
no mop enabled
interface FastEthernet0/1
ip address ххххх
ip access-group FireWall_IN in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip route-cache policy
duplex auto
speed auto
no mop enabled
crypto map OB_net
ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "L2TP на циске и нат " +/–

Сообщение от spiegel (ok) on 14-Дек-12, 00:42

>[оверквотинг удален]
>  ip flow ingress
>  ip flow egress
>  ip nat outside
>  ip virtual-reassembly
>  ip route-cache policy
>  duplex auto
>  speed auto
>  no mop enabled
>  crypto map OB_net
> ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload
Тогда нат работать не будет. Команда nat inside только помечает пакеты, как возможные для ната. И лишь покинув интерфейс, где стоит nat outside, пакеты получат другой ip. Чтобы обойти эту логику, используйте  ip nat enable (потребуетcя также изменить  ip nat sourсe...)
С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша сеть подключена к нему напрямую.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "L2TP на циске и нат " +/–

Сообщение от evgenpc (??) on 14-Дек-12, 02:12

>[оверквотинг удален]
>>  speed auto
>>  no mop enabled
>>  crypto map OB_net
>> ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload
> Тогда нат работать не будет. Команда nat inside только помечает пакеты, как
> возможные для ната. И лишь покинув интерфейс, где стоит nat outside,
> пакеты получат другой ip. Чтобы обойти эту логику, используйте  ip
> nat enable (потребуетcя также изменить  ip nat sourсe...)
> С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша
> сеть подключена к нему напрямую.
да... да но с точки зрения хостов во внутренней сети для которых эта циска не дефолтовый гейт... маршруты прописывать не хочется. ок, сейчас опробую этот nvi.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "L2TP на циске и нат " +/–

Сообщение от evgenpc (??) on 14-Дек-12, 02:15

>[оверквотинг удален]
>>> ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload
>> Тогда нат работать не будет. Команда nat inside только помечает пакеты, как
>> возможные для ната. И лишь покинув интерфейс, где стоит nat outside,
>> пакеты получат другой ip. Чтобы обойти эту логику, используйте  ip
>> nat enable (потребуетcя также изменить  ip nat sourсe...)
>> С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша
>> сеть подключена к нему напрямую.
> да... да но с точки зрения хостов во внутренней сети для которых
> эта циска не дефолтовый гейт... маршруты прописывать не хочется. ок, сейчас
> опробую этот nvi.
!!! а работает же ведь!!! )))

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "L2TP на циске и нат " +/–

Сообщение от evgenpch (ok) on 14-Дек-12, 02:44

>[оверквотинг удален]
>>> Тогда нат работать не будет. Команда nat inside только помечает пакеты, как
>>> возможные для ната. И лишь покинув интерфейс, где стоит nat outside,
>>> пакеты получат другой ip. Чтобы обойти эту логику, используйте  ip
>>> nat enable (потребуетcя также изменить  ip nat sourсe...)
>>> С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша
>>> сеть подключена к нему напрямую.
>> да... да но с точки зрения хостов во внутренней сети для которых
>> эта циска не дефолтовый гейт... маршруты прописывать не хочется. ок, сейчас
>> опробую этот nvi.
> !!! а работает же ведь!!! )))
спасибо! очень все работает!
а вот по-второму вопросу не подскажите?
2. стандартная проблема выдачи маршрутов л2тп-клиентам.
вот схожие ветки... делают же ведь люди
https://www.opennet.ru/openforum/vsluhforumID10/4943.html
https://www.opennet.ru/openforum/vsluhforumID6/8569.html
https://www.opennet.ru/openforum/vsluhforumID6/23712.html?n=M...
ДХцП беру из внутренней сети там в 121-ой опции все прописано.

000284: *Dec 14 01:54:35.139 PCTime: DHCP Offer Message   Offered Address: 10.11.11.11
000285: *Dec 14 01:54:35.139 PCTime: DHCP: Lease Seconds: 691200    Renewal secs:  345600    Rebind secs:   604800
000286: *Dec 14 01:54:35.139 PCTime: DHCP: Server ID Option: 192.168.2.70
000287: *Dec 14 01:54:35.139 PCTime: DHCP: offer received from 192.168.2.70
000288: *Dec 14 01:54:35.139 PCTime: DHCP: SRequest attempt # 1 for entry:
000289: *Dec 14 01:54:35.143 PCTime: Temp IP addr: 10.11.11.11  for peer on Interface: Virtual-Access4
000290: *Dec 14 01:54:35.143 PCTime: Temp  sub net mask: 255.255.255.0
000291: *Dec 14 01:54:35.143 PCTime:    DHCP Lease server: 192.168.2.70, state: 4 Requesting
000292: *Dec 14 01:54:35.143 PCTime:    DHCP transaction id: 1708
000293: *Dec 14 01:54:35.143 PCTime:    Lease: 691200 secs,  Renewal: 0 secs,  Rebind: 0 secs
000294: *Dec 14 01:54:35.143 PCTime:    Next timer fires after: 00:00:03
000295: *Dec 14 01:54:35.143 PCTime:    Retry count: 1   Client-ID: e.pchelkin
000296: *Dec 14 01:54:35.143 PCTime:    Client-ID hex dump: 652E706368656C6B696E
000297: *Dec 14 01:54:35.143 PCTime:    Hostname: svpn
000298: *Dec 14 01:54:35.143 PCTime: DHCP: SRequest- Server ID option: 192.168.2.70
000299: *Dec 14 01:54:35.143 PCTime: DHCP: SRequest- Requested IP addr option: 10.11.11.11
000300: *Dec 14 01:54:35.143 PCTime: DHCP: SRequest: 285 bytes
000301: *Dec 14 01:54:35.143 PCTime: DHCP: SRequest: 285 bytes
000302: *Dec 14 01:54:35.187 PCTime: DHCP: XID MATCH in dhcpc_for_us()
000303: *Dec 14 01:54:35.187 PCTime: DHCP: Received a BOOTREP pkt
000304: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Message type: DHCP Ack
000305: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Renewal time: 345600
000306: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Rebind time: 604800
000307: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Lease Time: 691200
000308: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Server ID Option: 192.168.2.70 = C0A80246
000309: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Subnet Address Option: 255.255.255.0
000310: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: DNS Name Server Option: 192.168.0.10, 192.168.2.70
000311: *Dec 14 01:54:35.187 PCTime: DHCP: rcvd pkt source: 192.168.2.70,  destination:  10.11.11.1
000312: *Dec 14 01:54:35.187 PCTime:    UDP  sport: 43,  dport: 43,  length: 308
000313: *Dec 14 01:54:35.187 PCTime:    DHCP op: 2, htype: 1, hlen: 6, hops: 0
000314: *Dec 14 01:54:35.187 PCTime:    DHCP server identifier: 192.168.2.70
000315: *Dec 14 01:54:35.187 PCTime:         xid: 1708, secs: 0, flags: 0
000316: *Dec 14 01:54:35.187 PCTime:         client: 0.0.0.0, your: 10.11.11.11
000317: *Dec 14 01:54:35.187 PCTime:         srvr:   0.0.0.0, gw: 10.11.11.1
000318: *Dec 14 01:54:35.187 PCTime:         options block length: 60
000319: *Dec 14 01:54:35.187 PCTime: DHCP Ack Message
000320: *Dec 14 01:54:35.187 PCTime: DHCP: Lease Seconds: 691200    Renewal secs:  345600    Rebind secs:   604800
000321: *Dec 14 01:54:35.187 PCTime: DHCP: Server ID Option: 192.168.2.70
000322: *Dec 14 01:54:35.187 PCTime: DHCP: Sending notification of ASSIGNMENT:
000323: *Dec 14 01:54:35.187 PCTime:   Address 0.0.0.0 mask 0.0.0.0
000324: *Dec 14 01:54:35.191 PCTime: DHCP Proxy Client Pooling: ***Allocated IP address: 10.11.11.11
000325: *Dec 14 01:54:35.191 PCTime: DHCP: look up prim DNS for Vi4 from lease good ret: 192.168.0.10
000326: *Dec 14 01:54:35.191 PCTime: DHCP: look up prim NBNS for Vi4 from lease any ret: fail
000327: *Dec 14 01:54:35.191 PCTime: DHCP: look up sec DNS for Vi4 from lease good ret: 192.168.2.70
000328: *Dec 14 01:54:35.191 PCTime: DHCP: look up sec NBNS for Vi4 from lease any ret: fail
000329: *Dec 14 01:54:35.203 PCTime: DHCP: look up prim DNS for Vi4 from lease good ret: 192.168.0.10
000330: *Dec 14 01:54:35.203 PCTime: DHCP: look up sec DNS for Vi4 from lease good ret: 192.168.2.70
000331: *Dec 14 01:54:35.215 PCTime: DHCP: look up prim DNS for Vi4 from lease good ret: 192.168.0.10
000332: *Dec 14 01:54:35.215 PCTime: DHCP: look up sec DNS for Vi4 from lease good ret: 192.168.2.70
000333: *Dec 14 01:54:35.747 PCTime: %SEC-6-IPACCESSLOGP: list VPN permitted udp 10.11.11.11(0) -> 255.255.255.255(0), 1 packet
000334: *Dec 14 01:54:46.103 PCTime: DHCP: Client socket is closed
да а во второй раз пришло в конце вот это -
000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for us..:  xid: 0x4BD225D5
то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет а циска его отрубила, а как ей сказать чтобы она это отправляла клиенту?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "L2TP на циске и нат " +/–

Сообщение от spiegel (ok) on 14-Дек-12, 19:52

>[оверквотинг удален]
> from lease good ret: 192.168.2.70
> 000333: *Dec 14 01:54:35.747 PCTime: %SEC-6-IPACCESSLOGP: list VPN permitted udp 10.11.11.11(0)
> -> 255.255.255.255(0), 1 packet
> 000334: *Dec 14 01:54:46.103 PCTime: DHCP: Client socket is closed
> да а во второй раз пришло в конце вот это -
> 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for
> us..:  xid: 0x4BD225D5
> то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет
> а циска его отрубила, а как ей сказать чтобы она это
> отправляла клиенту?
Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать:
ip dhcp pool VPDNDP
  option 249 hex 18ac.1064.0a0b.0b01

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "L2TP на циске и нат " +/–

Сообщение от evg (??) on 25-Дек-12, 01:22

>[оверквотинг удален]
>> да а во второй раз пришло в конце вот это -
>> 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for
>> us..:  xid: 0x4BD225D5
>> то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет
>> а циска его отрубила, а как ей сказать чтобы она это
>> отправляла клиенту?
> Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте
> (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать:
> ip dhcp pool VPDNDP
>   option 249 hex 18ac.1064.0a0b.0b01
спасибо, но не помогло... может есть какие-то другие решения?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "L2TP на циске и нат " +/–

Сообщение от evg (??) on 28-Дек-12, 16:32

>[оверквотинг удален]
>>> 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for
>>> us..:  xid: 0x4BD225D5
>>> то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет
>>> а циска его отрубила, а как ей сказать чтобы она это
>>> отправляла клиенту?
>> Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте
>> (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать:
>> ip dhcp pool VPDNDP
>>   option 249 hex 18ac.1064.0a0b.0b01
> спасибо, но не помогло... может есть какие-то другие решения?
Смотрите, на винХП палит 249-ая опция в дхцп на циске, и все отдается и нужные маршруты на ХП прописываются, а вот для вин 7 ничего не происходит, добавил и аналогичную строчку со 121-ой опцией - ничего не поменялось, может кому удалось отдать стат маршруты л2тп-клиенту вин7?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "L2TP на циске и нат " +/–

Сообщение от asx on 28-Дек-12, 17:04

>[оверквотинг удален]
>>> Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте
>>> (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать:
>>> ip dhcp pool VPDNDP
>>>   option 249 hex 18ac.1064.0a0b.0b01
>> спасибо, но не помогло... может есть какие-то другие решения?
> Смотрите, на винХП палит 249-ая опция в дхцп на циске, и все
> отдается и нужные маршруты на ХП прописываются, а вот для вин
> 7 ничего не происходит, добавил и аналогичную строчку со 121-ой опцией
> - ничего не поменялось, может кому удалось отдать стат маршруты л2тп-клиенту
> вин7?
Вот это работает для всех клиентов (WinXP+Win7). Единственное, больше 4 маршрутов прописать нельзя.
ip dhcp pool VPDN
   network 192.168.254.0 255.255.255.0
   default-router 192.168.254.1
   dns-server 192.168.254.1
   option 249 ip 24.192.168.1 192.168.254.1 24.10.10.10 192.168.254.1 24.192.168.10 192.168.254.1 24.10.0.10 192.168.254.1
!

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "L2TP на циске и нат " +/–

Сообщение от evg (??) on 29-Дек-12, 10:57

> ip dhcp pool VPDN
>    network 192.168.254.0 255.255.255.0
>    default-router 192.168.254.1
>    dns-server 192.168.254.1
>    option 249 ip 24.192.168.1 192.168.254.1 24.10.10.10 192.168.254.1 24.192.168.10 192.168.254.1
> 24.10.0.10 192.168.254.1
> !
У меня вот такой конфиг и все опции отдаются в винХП а в вин 7 не хотят.
ip dhcp pool VPDNDP
   network 10.11.11.0 255.255.255.0
   default-router 10.11.11.1
   dns-server 192.168.0.10 192.168.2.70
   option 121 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01
   option 249 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01
!
Можете прислать остальной конфиг, возможно что-то еще у вас открыто, чтобы передавалось...

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "L2TP на циске и нат " +/–

Сообщение от vigogne (ok) on 29-Дек-12, 11:21

>[оверквотинг удален]
> У меня вот такой конфиг и все опции отдаются в винХП а
> в вин 7 не хотят.
> ip dhcp pool VPDNDP
>    network 10.11.11.0 255.255.255.0
>    default-router 10.11.11.1
>    dns-server 192.168.0.10 192.168.2.70
>    option 121 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01
>    option 249 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01
> !
> Можете прислать остальной конфиг, возможно что-то еще у вас открыто, чтобы передавалось...
Кстати, иногда Windows 7, при обновлении адреса бывает использует старые настройки, игнорируя новые. Попробуйте в командной строке, запущенной с правами администратора сделать две команды:
ipconfig /release
ipconfig /renew

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "L2TP на циске и нат "	+/–
Сообщение от Merridius (ok) on 13-Дек-12, 18:03
>[оверквотинг удален] > ip virtual-reassembly > autodetect encapsulation ppp > peer default ip address dhcp-pool VPDNDP > ppp authentication ms-chap-v2 > ip nat inside source route-map L2TP interface FastEthernet0/0 overload > access-list 111 permit ip 10.11.11.0 0.0.0.255 192.168.0.0 0.0.3.255 > route-map L2TP permit 10 > match ip address 111 > 2. стандартная проблема выдачи маршрутов л2тп-клиентам. > Подскажите пожалуйста в чем не так? Мало что понял, кто куда и зачем натится, но могу сказать следующее: чтобы трафик натился куда-то, он(трафик) должен сначала быть направлен туда. Соответственно сначала разбираемся с маршрутизацией, потом накладываем поверх нее сервис трансляции.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "L2TP на циске и нат "	+/–
	Сообщение от spiegel (ok) on 13-Дек-12, 20:11
	>[оверквотинг удален] >> ppp authentication ms-chap-v2 >> ip nat inside source route-map L2TP interface FastEthernet0/0 overload >> access-list 111 permit ip 10.11.11.0 0.0.0.255 192.168.0.0 0.0.3.255 >> route-map L2TP permit 10 >> match ip address 111 >> 2. стандартная проблема выдачи маршрутов л2тп-клиентам. >> Подскажите пожалуйста в чем не так? > Мало что понял, кто куда и зачем натится, но могу сказать следующее: > чтобы трафик натился куда-то, он(трафик) должен сначала быть направлен туда. Соответственно > сначала разбираемся с маршрутизацией, потом накладываем поверх нее сервис трансляции. на f0/0 не забыли ip nat outside? Что показывает sh ip nat stat и sh ip nat trans?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "L2TP на циске и нат "	+/–
	Сообщение от evgenpch (ok) on 14-Дек-12, 00:01
	с маршрутизацией все ок, прописываю маршрут на внутреннем сервере 10.11.11.0 на внутренний интерфейсе и все пингуется. не на внутреннем fa0/0 я не могу ip nat outside прописать - он для исходящих соединений еще некоторых работает. вот остатки - интерфейсы и нат (исходящих соединений) interface FastEthernet0/0 ip address 192.168.11.1 255.255.255.0 secondary ip address 192.168.2.247 255.255.252.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip route-cache policy ip tcp adjust-mss 1420 ip ospf priority 20 duplex auto speed auto no mop enabled interface FastEthernet0/1 ip address ххххх ip access-group FireWall_IN in no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip flow egress ip nat outside ip virtual-reassembly ip route-cache policy duplex auto speed auto no mop enabled crypto map OB_net ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "L2TP на циске и нат "	+/–
	Сообщение от spiegel (ok) on 14-Дек-12, 00:42
	>[оверквотинг удален] > ip flow ingress > ip flow egress > ip nat outside > ip virtual-reassembly > ip route-cache policy > duplex auto > speed auto > no mop enabled > crypto map OB_net > ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload Тогда нат работать не будет. Команда nat inside только помечает пакеты, как возможные для ната. И лишь покинув интерфейс, где стоит nat outside, пакеты получат другой ip. Чтобы обойти эту логику, используйте ip nat enable (потребуетcя также изменить ip nat sourсe...) С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша сеть подключена к нему напрямую.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "L2TP на циске и нат "	+/–
	Сообщение от evgenpc (??) on 14-Дек-12, 02:12
	>[оверквотинг удален] >> speed auto >> no mop enabled >> crypto map OB_net >> ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload > Тогда нат работать не будет. Команда nat inside только помечает пакеты, как > возможные для ната. И лишь покинув интерфейс, где стоит nat outside, > пакеты получат другой ip. Чтобы обойти эту логику, используйте ip > nat enable (потребуетcя также изменить ip nat sourсe...) > С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша > сеть подключена к нему напрямую. да... да но с точки зрения хостов во внутренней сети для которых эта циска не дефолтовый гейт... маршруты прописывать не хочется. ок, сейчас опробую этот nvi.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "L2TP на циске и нат "	+/–
	Сообщение от evgenpc (??) on 14-Дек-12, 02:15
	>[оверквотинг удален] >>> ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload >> Тогда нат работать не будет. Команда nat inside только помечает пакеты, как >> возможные для ната. И лишь покинув интерфейс, где стоит nat outside, >> пакеты получат другой ip. Чтобы обойти эту логику, используйте ip >> nat enable (потребуетcя также изменить ip nat sourсe...) >> С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша >> сеть подключена к нему напрямую. > да... да но с точки зрения хостов во внутренней сети для которых > эта циска не дефолтовый гейт... маршруты прописывать не хочется. ок, сейчас > опробую этот nvi. !!! а работает же ведь!!! )))
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "L2TP на циске и нат "	+/–
	Сообщение от evgenpch (ok) on 14-Дек-12, 02:44
	>[оверквотинг удален] >>> Тогда нат работать не будет. Команда nat inside только помечает пакеты, как >>> возможные для ната. И лишь покинув интерфейс, где стоит nat outside, >>> пакеты получат другой ip. Чтобы обойти эту логику, используйте ip >>> nat enable (потребуетcя также изменить ip nat sourсe...) >>> С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша >>> сеть подключена к нему напрямую. >> да... да но с точки зрения хостов во внутренней сети для которых >> эта циска не дефолтовый гейт... маршруты прописывать не хочется. ок, сейчас >> опробую этот nvi. > !!! а работает же ведь!!! ))) спасибо! очень все работает! а вот по-второму вопросу не подскажите? 2. стандартная проблема выдачи маршрутов л2тп-клиентам. вот схожие ветки... делают же ведь люди https://www.opennet.ru/openforum/vsluhforumID10/4943.html https://www.opennet.ru/openforum/vsluhforumID6/8569.html https://www.opennet.ru/openforum/vsluhforumID6/23712.html?n=M... ДХцП беру из внутренней сети там в 121-ой опции все прописано. 000284: Dec 14 01:54:35.139 PCTime: DHCP Offer Message Offered Address: 10.11.11.11 000285: Dec 14 01:54:35.139 PCTime: DHCP: Lease Seconds: 691200 Renewal secs: 345600 Rebind secs: 604800 000286: Dec 14 01:54:35.139 PCTime: DHCP: Server ID Option: 192.168.2.70 000287: Dec 14 01:54:35.139 PCTime: DHCP: offer received from 192.168.2.70 000288: Dec 14 01:54:35.139 PCTime: DHCP: SRequest attempt # 1 for entry: 000289: Dec 14 01:54:35.143 PCTime: Temp IP addr: 10.11.11.11 for peer on Interface: Virtual-Access4 000290: Dec 14 01:54:35.143 PCTime: Temp sub net mask: 255.255.255.0 000291: Dec 14 01:54:35.143 PCTime: DHCP Lease server: 192.168.2.70, state: 4 Requesting 000292: Dec 14 01:54:35.143 PCTime: DHCP transaction id: 1708 000293: Dec 14 01:54:35.143 PCTime: Lease: 691200 secs, Renewal: 0 secs, Rebind: 0 secs 000294: Dec 14 01:54:35.143 PCTime: Next timer fires after: 00:00:03 000295: Dec 14 01:54:35.143 PCTime: Retry count: 1 Client-ID: e.pchelkin 000296: Dec 14 01:54:35.143 PCTime: Client-ID hex dump: 652E706368656C6B696E 000297: Dec 14 01:54:35.143 PCTime: Hostname: svpn 000298: Dec 14 01:54:35.143 PCTime: DHCP: SRequest- Server ID option: 192.168.2.70 000299: Dec 14 01:54:35.143 PCTime: DHCP: SRequest- Requested IP addr option: 10.11.11.11 000300: Dec 14 01:54:35.143 PCTime: DHCP: SRequest: 285 bytes 000301: Dec 14 01:54:35.143 PCTime: DHCP: SRequest: 285 bytes 000302: Dec 14 01:54:35.187 PCTime: DHCP: XID MATCH in dhcpc_for_us() 000303: Dec 14 01:54:35.187 PCTime: DHCP: Received a BOOTREP pkt 000304: Dec 14 01:54:35.187 PCTime: DHCP: Scan: Message type: DHCP Ack 000305: Dec 14 01:54:35.187 PCTime: DHCP: Scan: Renewal time: 345600 000306: Dec 14 01:54:35.187 PCTime: DHCP: Scan: Rebind time: 604800 000307: Dec 14 01:54:35.187 PCTime: DHCP: Scan: Lease Time: 691200 000308: Dec 14 01:54:35.187 PCTime: DHCP: Scan: Server ID Option: 192.168.2.70 = C0A80246 000309: Dec 14 01:54:35.187 PCTime: DHCP: Scan: Subnet Address Option: 255.255.255.0 000310: Dec 14 01:54:35.187 PCTime: DHCP: Scan: DNS Name Server Option: 192.168.0.10, 192.168.2.70 000311: Dec 14 01:54:35.187 PCTime: DHCP: rcvd pkt source: 192.168.2.70, destination: 10.11.11.1 000312: Dec 14 01:54:35.187 PCTime: UDP sport: 43, dport: 43, length: 308 000313: Dec 14 01:54:35.187 PCTime: DHCP op: 2, htype: 1, hlen: 6, hops: 0 000314: Dec 14 01:54:35.187 PCTime: DHCP server identifier: 192.168.2.70 000315: Dec 14 01:54:35.187 PCTime: xid: 1708, secs: 0, flags: 0 000316: Dec 14 01:54:35.187 PCTime: client: 0.0.0.0, your: 10.11.11.11 000317: Dec 14 01:54:35.187 PCTime: srvr: 0.0.0.0, gw: 10.11.11.1 000318: Dec 14 01:54:35.187 PCTime: options block length: 60 000319: Dec 14 01:54:35.187 PCTime: DHCP Ack Message 000320: Dec 14 01:54:35.187 PCTime: DHCP: Lease Seconds: 691200 Renewal secs: 345600 Rebind secs: 604800 000321: Dec 14 01:54:35.187 PCTime: DHCP: Server ID Option: 192.168.2.70 000322: Dec 14 01:54:35.187 PCTime: DHCP: Sending notification of ASSIGNMENT: 000323: Dec 14 01:54:35.187 PCTime: Address 0.0.0.0 mask 0.0.0.0 000324: Dec 14 01:54:35.191 PCTime: DHCP Proxy Client Pooling: *Allocated IP address: 10.11.11.11 000325: Dec 14 01:54:35.191 PCTime: DHCP: look up prim DNS for Vi4 from lease good ret: 192.168.0.10 000326: Dec 14 01:54:35.191 PCTime: DHCP: look up prim NBNS for Vi4 from lease any ret: fail 000327: Dec 14 01:54:35.191 PCTime: DHCP: look up sec DNS for Vi4 from lease good ret: 192.168.2.70 000328: Dec 14 01:54:35.191 PCTime: DHCP: look up sec NBNS for Vi4 from lease any ret: fail 000329: Dec 14 01:54:35.203 PCTime: DHCP: look up prim DNS for Vi4 from lease good ret: 192.168.0.10 000330: Dec 14 01:54:35.203 PCTime: DHCP: look up sec DNS for Vi4 from lease good ret: 192.168.2.70 000331: Dec 14 01:54:35.215 PCTime: DHCP: look up prim DNS for Vi4 from lease good ret: 192.168.0.10 000332: Dec 14 01:54:35.215 PCTime: DHCP: look up sec DNS for Vi4 from lease good ret: 192.168.2.70 000333: Dec 14 01:54:35.747 PCTime: %SEC-6-IPACCESSLOGP: list VPN permitted udp 10.11.11.11(0) -> 255.255.255.255(0), 1 packet 000334: Dec 14 01:54:46.103 PCTime: DHCP: Client socket is closed да а во второй раз пришло в конце вот это - 000490: Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for us..: xid: 0x4BD225D5 то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет а циска его отрубила, а как ей сказать чтобы она это отправляла клиенту?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "L2TP на циске и нат "	+/–
	Сообщение от spiegel (ok) on 14-Дек-12, 19:52
	>[оверквотинг удален] > from lease good ret: 192.168.2.70 > 000333: Dec 14 01:54:35.747 PCTime: %SEC-6-IPACCESSLOGP: list VPN permitted udp 10.11.11.11(0) > -> 255.255.255.255(0), 1 packet > 000334: Dec 14 01:54:46.103 PCTime: DHCP: Client socket is closed > да а во второй раз пришло в конце вот это - > 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for > us..: xid: 0x4BD225D5 > то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет > а циска его отрубила, а как ей сказать чтобы она это > отправляла клиенту? Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать: ip dhcp pool VPDNDP option 249 hex 18ac.1064.0a0b.0b01
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "L2TP на циске и нат "	+/–
	Сообщение от evg (??) on 25-Дек-12, 01:22
	>[оверквотинг удален] >> да а во второй раз пришло в конце вот это - >> 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for >> us..: xid: 0x4BD225D5 >> то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет >> а циска его отрубила, а как ей сказать чтобы она это >> отправляла клиенту? > Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте > (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать: > ip dhcp pool VPDNDP > option 249 hex 18ac.1064.0a0b.0b01 спасибо, но не помогло... может есть какие-то другие решения?
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "L2TP на циске и нат "	+/–
	Сообщение от evg (??) on 28-Дек-12, 16:32
	>[оверквотинг удален] >>> 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for >>> us..: xid: 0x4BD225D5 >>> то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет >>> а циска его отрубила, а как ей сказать чтобы она это >>> отправляла клиенту? >> Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте >> (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать: >> ip dhcp pool VPDNDP >> option 249 hex 18ac.1064.0a0b.0b01 > спасибо, но не помогло... может есть какие-то другие решения? Смотрите, на винХП палит 249-ая опция в дхцп на циске, и все отдается и нужные маршруты на ХП прописываются, а вот для вин 7 ничего не происходит, добавил и аналогичную строчку со 121-ой опцией - ничего не поменялось, может кому удалось отдать стат маршруты л2тп-клиенту вин7?
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "L2TP на циске и нат "	+/–
	Сообщение от asx on 28-Дек-12, 17:04
	>[оверквотинг удален] >>> Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте >>> (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать: >>> ip dhcp pool VPDNDP >>> option 249 hex 18ac.1064.0a0b.0b01 >> спасибо, но не помогло... может есть какие-то другие решения? > Смотрите, на винХП палит 249-ая опция в дхцп на циске, и все > отдается и нужные маршруты на ХП прописываются, а вот для вин > 7 ничего не происходит, добавил и аналогичную строчку со 121-ой опцией > - ничего не поменялось, может кому удалось отдать стат маршруты л2тп-клиенту > вин7? Вот это работает для всех клиентов (WinXP+Win7). Единственное, больше 4 маршрутов прописать нельзя. ip dhcp pool VPDN network 192.168.254.0 255.255.255.0 default-router 192.168.254.1 dns-server 192.168.254.1 option 249 ip 24.192.168.1 192.168.254.1 24.10.10.10 192.168.254.1 24.192.168.10 192.168.254.1 24.10.0.10 192.168.254.1 !
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "L2TP на циске и нат "	+/–
	Сообщение от evg (??) on 29-Дек-12, 10:57
	> ip dhcp pool VPDN > network 192.168.254.0 255.255.255.0 > default-router 192.168.254.1 > dns-server 192.168.254.1 > option 249 ip 24.192.168.1 192.168.254.1 24.10.10.10 192.168.254.1 24.192.168.10 192.168.254.1 > 24.10.0.10 192.168.254.1 > ! У меня вот такой конфиг и все опции отдаются в винХП а в вин 7 не хотят. ip dhcp pool VPDNDP network 10.11.11.0 255.255.255.0 default-router 10.11.11.1 dns-server 192.168.0.10 192.168.2.70 option 121 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01 option 249 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01 ! Можете прислать остальной конфиг, возможно что-то еще у вас открыто, чтобы передавалось...
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "L2TP на циске и нат "	+/–
	Сообщение от vigogne (ok) on 29-Дек-12, 11:21
	>[оверквотинг удален] > У меня вот такой конфиг и все опции отдаются в винХП а > в вин 7 не хотят. > ip dhcp pool VPDNDP > network 10.11.11.0 255.255.255.0 > default-router 10.11.11.1 > dns-server 192.168.0.10 192.168.2.70 > option 121 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01 > option 249 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01 > ! > Можете прислать остальной конфиг, возможно что-то еще у вас открыто, чтобы передавалось... Кстати, иногда Windows 7, при обновлении адреса бывает использует старые настройки, игнорируя новые. Попробуйте в командной строке, запущенной с правами администратора сделать две команды: ipconfig /release ipconfig /renew
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору